ISMS Copilot
Rechtliches

Auftragsverarbeitungsvertrag (AVV) - Aktualisiert

Überblick

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der Nutzungsbedingungen zwischen Ihnen (dem „Kunden“ oder „Verantwortlichen“) und ISMS Copilot (dem „Auftragsverarbeiter“ oder „Datenverarbeiter“) für die Nutzung der ISMS Copilot KI-Compliance-Plattform. Dieser AVV entspricht Artikel 28 der Datenschutz-Grundverordnung (DSGVO) und regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden.

Gültigkeitsdatum: November 2025. Dieser AVV gilt automatisch für alle Kunden von ISMS Copilot, die personenbezogene Daten über die Plattform verarbeiten. Eine gesonderte Unterschrift ist nicht erforderlich – Ihre Nutzung des Dienstes gilt als Zustimmung.

Zielgruppe

Dieser Auftragsverarbeitungsvertrag ist bestimmt für:

  • Organisationen, die ISMS Copilot zur Verarbeitung personenbezogener Daten nutzen

  • Compliance-Berater, die Kundendaten über die Plattform verwalten

  • Datenschutzbeauftragte, die Anbieterbewertungen durchführen

  • Rechts- und Beschaffungsteams, die Vereinbarungen zur Datenverarbeitung prüfen

  • Auditoren, die die Einhaltung von Artikel 28 DSGVO überprüfen

Definitionen

Schlüsselbegriffe

  • „Kunde“ oder „Verantwortlicher“: Die Organisation oder Einzelperson, die ISMS Copilot-Dienste abonniert und über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

  • „Auftragsverarbeiter“ oder „Datenverarbeiter“: ISMS Copilot, das personenbezogene Daten im Auftrag des Kunden verarbeitet.

  • „Personenbezogene Daten des Kunden“: Alle personenbezogenen Daten, die von ISMS Copilot im Auftrag des Kunden verarbeitet werden, einschließlich Gesprächsinhalten, hochgeladener Dokumente und zugehöriger Metadaten.

  • „Unterauftragsverarbeiter“: Jeder externe Verarbeiter, der von ISMS Copilot mit der Verarbeitung personenbezogener Daten des Kunden beauftragt wird.

  • „Betroffene Person“: Die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten des Kunden beziehen.

  • „Verarbeitung“: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Verwendung, die Offenlegung oder das Löschen.

  • „Verletzung des Schutzes personenbezogener Daten“: Eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten des Kunden führt.

1. Umfang und Anwendbarkeit

1.1 Geltungsbereich des AVV

Dieser AVV gilt für alle Verarbeitungen personenbezogener Daten des Kunden durch ISMS Copilot im Rahmen der Erbringung der in den Nutzungsbedingungen beschriebenen Plattformdienste.

1.2 Gegenstand der Verarbeitung

ISMS Copilot verarbeitet personenbezogene Daten des Kunden, um KI-gestützte Compliance-Unterstützung anzubieten, einschließlich:

  • Verarbeitung von Benutzeranfragen und Erstellung von KI-Antworten

  • Speicherung von Gesprächshistorie und Kontext

  • Analyse hochgeladener Compliance-Dokumente

  • Verwaltung von Workspace-Konfigurationen und benutzerdefinierten Anweisungen

1.3 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des aktiven Abonnements des Kunden und gemäß der vom Kunden konfigurierten Datenaufbewahrungsfrist (1 Tag bis 7 Jahre oder „unbegrenzt aufbewahren“). Nach Beendigung werden alle personenbezogenen Daten des Kunden innerhalb von 30 Tagen gelöscht, sofern keine längere Aufbewahrung gesetzlich vorgeschrieben ist.

1.4 Art und Zweck der Verarbeitung

  • Art: Automatisierte Verarbeitung durch KI-Modelle, Datenbank-Speicherung und Dateiverarbeitung

  • Zweck: Bereitstellung von Compliance-Beratung, Dokumentenanalyse, Richtlinienerstellung und Wissensmanagement gemäß den Weisungen des Kunden

1.5 Kategorien betroffener Personen

  • Mitarbeiter und autorisierte Benutzer des Kunden

  • Kunden und Endnutzer des Kunden (sofern in hochgeladenen Dokumenten oder Anfragen erwähnt)

  • In der Compliance-Dokumentation namentlich genannte Personen

  • Betroffene von Sicherheitsvorfällen

1.6 Kategorien personenbezogener Daten

  • Benutzerkontoinformationen (E-Mail-Adressen, Authentifizierungsdaten)

  • Gesprächsinhalte und KI-Interaktionen

  • Inhalte hochgeladener Dokumente (Richtlinien, Verfahren, Auditberichte)

  • Workspace-Konfigurationen und benutzerdefinierte Anweisungen

  • Nutzungsmetadaten und Zeitstempel

  • Potenziell besondere Kategorien von Daten (Art. 9 DSGVO), falls vom Kunden hochgeladen

Der Kunde ist dafür verantwortlich, sicherzustellen, dass eine angemessene Rechtsgrundlage und Schutzmaßnahmen bestehen, bevor er besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) hochlädt, wie z. B. Berichte über Sicherheitsvorfälle, die Gesundheitsdaten, Mitarbeiterinformationen oder andere sensible Kategorien enthalten.

2. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)

2.1 Verarbeitungsweisungen

ISMS Copilot verarbeitet personenbezogene Daten des Kunden nur auf dokumentierte Weisung des Kunden, einschließlich:

  • Über die Plattform-Schnittstelle erteilte Weisungen (Anfragen, Dokument-Uploads, Workspace-Konfigurationen)

  • Vom Kunden konfigurierte Einstellungen zur Datenaufbewahrung

  • Auswahl des erweiterten Datenschutzmodus (nur EU vs. Standard-KI-Verarbeitung)

  • Über die Plattform oder den Support eingereichte Löschanträge

Verbotene Verarbeitung: ISMS Copilot und seinen KI-Unterauftragsverarbeitern (xAI, OpenAI, Mistral AI) ist es vertraglich untersagt, personenbezogene Daten des Kunden zum Trainieren, Verbessern oder Entwickeln von KI-Modellen zu verwenden. Dieses Verbot ist in alle Verträge mit KI-Unterauftragsverarbeitern integriert.

Wenn ISMS Copilot der Meinung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzgesetze verstößt, werden wir den Kunden unverzüglich informieren und haben das Recht, die Verarbeitung auszusetzen, bis die Weisung bestätigt oder geändert wird. Bestätigt der Kunde eine Weisung, von der ISMS Copilot vernünftigerweise annimmt, dass sie gegen geltendes Datenschutzrecht verstößt, kann ISMS Copilot die Ausführung verweigern und, falls keine Einigung erzielt wird, die betroffenen Verarbeitungsaktivitäten mit einer Frist von 30 Tagen kündigen.

2.2 Vertraulichkeit der Verarbeitung

ISMS Copilot stellt sicher, dass alle zur Verarbeitung der personenbezogenen Daten des Kunden befugten Personen:

  • Zur Vertraulichkeit verpflichtet sind (vertraglich oder gesetzlich)

  • Angemessene Schulungen zum Datenschutz erhalten

  • Nur nach dem „Need-to-Know“-Prinzip auf Daten zugreifen

  • Dokumentierte Datenverarbeitungsverfahren befolgen

2.3 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

ISMS Copilot implementiert geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, darunter:

Zugangskontrollmaßnahmen:

  • Sicherheit auf Zeilenebene (Row-level security) in der Datenbank zur Verhinderung von benutzerübergreifendem Datenzugriff

  • Benutzerauthentifizierung für alle geschützten Ressourcen erforderlich

  • Workspace-Isolierung zur Verhinderung der Vermischung von Kundendaten

  • Unterstützung der Multi-Faktor-Authentifizierung (MFA)

  • Automatische Kontrollen für Sitzungs-Timeouts

Verschlüsselungsmaßnahmen:

  • TLS 1.3 Verschlüsselung für Datenübertragungen

  • Datenbankverschlüsselung im Ruhezustand (at rest)

  • Passwort-Hashing mit branchenüblichen Algorithmen (irreversibel)

  • Verschlüsselte Dateispeicherung in Supabase

Datenminimierungsmaßnahmen:

  • Erfassung nur wesentlicher Daten (E-Mail, Nachrichten, Dateien)

  • Keine Erfassung unnötiger demografischer oder Kontaktinformationen

  • Analytics-Konfiguration mit sendDefaultPii: false

  • Vom Kunden gesteuerte Aufbewahrungsfristen mit automatisierter Löschung

Verfügbarkeit und Belastbarkeit:

  • Automatisierte Datenbank-Backups

  • Verfahren zur Wiederherstellung im Katastrophenfall

  • 24/7 Monitoring und Alarmierung via Sentry

  • Echtzeit-Uptime-Überwachung via BetterStack mit sofortiger Slack-Alarmierung

  • Öffentliche Statusseite für Transparenz (status.ismscopilot.com)

  • Progressive Eskalation bei Vorfällen via E-Mail und SMS

Überprüfung und Bewertung:

  • Regelmäßige Sicherheitsbewertungen

  • Kontinuierliche Fehlerüberwachung und Protokollierung

  • Automatisierte Tests der Datenlöschung

  • Verfahren zur Überprüfung der Zugriffskontrollen

Detaillierte technische und organisatorische Maßnahmen finden Sie in unserem Verzeichnis von Verarbeitungstätigkeiten (VVT) oder in unserer Security Collection.

2.4 Beauftragung von Unterauftragsverarbeitern

Allgemeine Genehmigung: Der Kunde erteilt ISMS Copilot die allgemeine Genehmigung, Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten des Kunden unter den in diesem Abschnitt genannten Bedingungen zu beauftragen.

Aktuelle Unterauftragsverarbeiter: Die vollständige Liste der Unterauftragsverarbeiter wird in unserem Verzeichnis von Verarbeitungstätigkeiten geführt und umfasst:

Unterauftragsverarbeiter

Zweck

Standort

AVV-Status

Supabase (PostgreSQL + Storage)

Datenbank und Dateispeicherung

EU (Frankfurt)

✓ DSGVO-konform

Anthropic (Claude), xAI (Grok), OpenAI (GPT) *

KI-Verarbeitung (Standardmodus)

Vereinigte Staaten

✓ Kein Training mit Daten

Mistral AI *

KI-Verarbeitung (Erweiterter Datenschutz)

Europäische Union

✓ DSGVO-konform

Stripe

Zahlungsabwicklung

Global (EU AVV)

✓ DSGVO-konform

ConvertAPI

Dokumentenkonvertierung

EU-Endpunkt

✓ DSGVO-konform

✓ ISO 27001:2022 zertifiziert

✓ Unterzeichneter AVV mit Better ISMS

PostHog

Produkt-Analyse

EU (Frankfurt)

✓ DSGVO-konform

Sentry

Fehlerüberwachung

Deutschland

✓ DSGVO-konform

Vercel

Frontend-Hosting

Globales CDN

✓ DSGVO-konform

Fly.io

Backend-API-Hosting

EU-Deployment

✓ DSGVO-konform

SendGrid (Twilio)

E-Mail-Kommunikation

USA (SCC)

✓ DSGVO + SCC

Kit (ConvertKit)

E-Mail-Kommunikation

USA (SCC)

✓ DSGVO + SCC

* Benutzerkonfigurierbar: Es ist jeweils nur EIN KI-Prozessor aktiv, abhängig von der Einstellung des erweiterten Datenschutzmodus des Kunden.

Anforderungen an Unterauftragsverarbeiter: ISMS Copilot stellt sicher, dass alle Unterauftragsverarbeiter:

  • Hinreichende Garantien für die Einhaltung der DSGVO bieten

  • Datenverarbeitungsbedingungen zustimmen, die im Wesentlichen diesem AVV entsprechen

  • Geeignete technische und organisatorische Maßnahmen implementieren

  • Der Aufsicht und den Prüfungsrechten von ISMS Copilot unterliegen

Änderungen bei Unterauftragsverarbeitern:

  • ISMS Copilot wird den Kunden mindestens 30 Tage vor der Hinzufügung oder dem Austausch von Unterauftragsverarbeitern informieren

  • Benachrichtigungen erfolgen per E-Mail und über In-App-Ankündigungen

  • Kunden können neuen Unterauftragsverarbeitern innerhalb von 30 Tagen widersprechen

  • Bei Widerspruch wird ISMS Copilot den neuen Unterauftragsverarbeiter entweder nicht einsetzen oder dem Kunden die Möglichkeit geben, den Dienst ohne Strafe zu kündigen

Abonnieren Sie Benachrichtigungen über Änderungen bei Unterauftragsverarbeitern, indem Sie Ihre E-Mail-Einstellungen unter „Settings“ überprüfen. Aktualisierte Listen der Unterauftragsverarbeiter sind jederzeit im Verzeichnis von Verarbeitungstätigkeiten verfügbar.

2.5 Unterstützung bei Betroffenenrechten

ISMS Copilot unterstützt den Kunden bei der Erfüllung von Anträgen auf Betroffenenrechte, einschließlich:

ISMS Copilot wird auf Anfragen des Kunden zur Unterstützung bei Betroffenenrechten innerhalb der unten angegebenen Zeitrahmen antworten. Der Kunde bleibt dafür verantwortlich, die einmonatige Antwortfrist der DSGVO gegenüber betroffenen Personen einzuhalten (Art. 12 Abs. 3).

Recht auf Auskunft (Art. 15):

  • Self-Service-Zugriff auf alle Gespräche und Dateien über die Plattform

  • Vollständiger Datenexport im JSON-Format auf Anfrage an den Support (innerhalb von 72 Stunden)

Recht auf Berichtigung (Art. 16):

  • Self-Service-Aktualisierungen in den Kontoeinstellungen

  • Vom Support unterstützte Änderungen der E-Mail-Adresse (innerhalb von 30 Tagen)

Recht auf Löschung (Art. 17):

  • Anträge auf Kontolöschung über den Support

  • Vollständige Datenlöschung innerhalb von 30 Tagen

  • Bestätigung an den Kunden nach Abschluss

Recht auf Datenübertragbarkeit (Art. 20):

  • Maschinenlesbarer JSON-Export aller personenbezogenen Daten des Kunden

  • Lieferung innerhalb von 72 Stunden (bis zu 5 Tage bei großen Konten)

Recht auf Einschränkung der Verarbeitung (Art. 18) und Widerspruchsrecht (Art. 21):

  • Bearbeitung über den Support im Einzelfall

  • Antwort innerhalb von 30 Tagen

Der Kunde ist dafür verantwortlich, die Identität der betroffenen Person zu überprüfen, bevor er Datenzugriff oder -export anfordert. ISMS Copilot stellt die Tools und Prozesse bereit, aber der Kunde trägt die Hauptverantwortung für die Beantwortung von Anfragen betroffener Personen.

2.6 Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten des Kunden wird ISMS Copilot:

Erkennung und Bewertung:

  • Kontinuierliche Überwachung auf Sicherheitsvorfälle via Sentry und automatisierte Alarmierung

  • Durchführung einer Überprüfung von Sicherheitsvorfällen innerhalb von 24 Stunden nach Entdeckung

  • Bewertung des Risikos und der potenziellen Auswirkungen auf die personenbezogenen Daten des Kunden

Benachrichtigung an den Kunden:

  • Benachrichtigung des Kunden innerhalb von 48 Stunden nach Bestätigung einer Sicherheitsverletzung, die personenbezogene Daten des Kunden betrifft

  • Bei mutmaßlichen Vorfällen, die noch untersucht werden, Bereitstellung einer vorläufigen Benachrichtigung innerhalb von 24 Stunden mit Updates, sobald Informationen verfügbar sind

  • Beschreibung der Verletzung, einschließlich Kategorien und ungefähre Anzahl der betroffenen Personen

  • Beschreibung der wahrscheinlichen Folgen der Verletzung

  • Darstellung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen

  • Angabe einer Kontaktstelle für weitere Informationen

Zusammenarbeit:

  • Kooperation bei den Untersuchungs- und Abhilfemaßnahmen des Kunden

  • Angemessene Unterstützung bei der Benachrichtigung der Aufsichtsbehörden und betroffenen Personen durch den Kunden

  • Dokumentation aller Verletzungen und Abhilfemaßnahmen

Der Kunde bleibt dafür verantwortlich, zu bestimmen, ob eine Benachrichtigung der Aufsichtsbehörden (innerhalb von 72 Stunden gemäß Art. 33) und der betroffenen Personen (Art. 34) erforderlich ist. ISMS Copilot liefert Informationen zur Unterstützung dieser Entscheidung und der Verpflichtungen des Kunden.

2.7 Unterstützung bei Datenschutz-Folgenabschätzungen (DSFA)

ISMS Copilot wird in angemessenem Umfang Unterstützung leisten, wenn der Kunde eine Datenschutz-Folgenabschätzung oder eine vorherige Konsultation einer Aufsichtsbehörde durchführt, einschließlich:

  • Bereitstellung des Verzeichnisses von Verarbeitungstätigkeiten als Referenz

  • Beschreibung der implementierten technischen und organisatorischen Maßnahmen

  • Erläuterung von Datenflüssen und Unterauftragsverhältnissen

  • Beantwortung spezifischer Fragen zu Verarbeitungsvorgängen

2.8 Löschung und Rückgabe von Daten

Nach Beendigung der Dienste oder auf Anfrage des Kunden wird ISMS Copilot:

Standardlöschung (Standard):

  • Löschung aller personenbezogenen Daten des Kunden innerhalb von 30 Tagen nach Beendigung

  • Überschreiben von Backup-Daten innerhalb von 90 Tagen

  • Bereitstellung einer schriftlichen Löschbestätigung auf Anfrage

Datenexport vor der Löschung:

  • Der Kunde kann vor der Beendigung einen vollständigen Datenexport beantragen

  • Export erfolgt im JSON-Format innerhalb von 72 Stunden

  • Löschung erfolgt nach Bestätigung des Erhalts des Exports

Ausnahmen für gesetzliche Aufbewahrung:

  • Anonymisierte Abrechnungsunterlagen werden für 7 Jahre aufbewahrt (Steuer- und Buchhaltungs-Compliance)

  • Anonymisierte Analysedaten können aufbewahrt werden

  • Inhalte, die durch automatisierte Moderationssysteme markiert wurden, werden bis zu 1 Jahr für die rechtliche Compliance und Sicherheitsprüfung der Plattform aufbewahrt (siehe Datenschutzerklärung, Abschnitt Inhaltsmoderation)

  • Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist, werden isoliert und geschützt, bis die gesetzliche Aufbewahrungsfrist abläuft

2.9 Prüfungsrechte

Der Kunde hat das Recht, die Einhaltung dieses AVV durch ISMS Copilot zu prüfen, unter Berücksichtigung angemessener Einschränkungen:

Prüfung der Dokumentation:

  • Der Kunde kann öffentlich zugängliche Compliance-Dokumentationen in unserer Security Collection einsehen

  • Anforderung zusätzlicher Dokumentation über den Support (z. B. Verträge mit Unterauftragsverarbeitern, Sicherheitsrichtlinien)

  • Einsicht in das Verzeichnis von Verarbeitungstätigkeiten jederzeit möglich

Vor-Ort-Prüfungen:

  • Der Kunde kann Vor-Ort-Prüfungen mit einer Frist von 60 Tagen schriftlich ankündigen

  • Maximal eine Prüfung pro Jahr, es sei denn, eine Datenschutzverletzung macht dies erforderlich

  • Prüfungen müssen während der Geschäftszeiten durchgeführt werden und dürfen den Betrieb nicht stören

  • Der Kunde trägt die Kosten der Prüfung, es sei denn, die Prüfung deckt eine Nichteinhaltung auf, die: (a) eine Verletzung des Schutzes personenbezogener Daten darstellt, oder (b) ein systematisches Versäumnis bei der Implementierung dokumentierter Sicherheitsmaßnahmen beinhaltet, oder (c) zu behördlichen Sanktionen führt. In solchen Fällen trägt ISMS Copilot die angemessenen Prüfungskosten, die nach Feststellung der Nichteinhaltung entstanden sind.

  • Ergebnisse bleiben vertraulich und dürfen nur geteilt werden, sofern gesetzlich vorgeschrieben

Zertifizierungen durch Dritte:

  • ISMS Copilot wird relevante Sicherheitszertifizierungen anstreben und aufrechterhalten (ISO 27001 in Arbeit)

  • Zertifizierungsberichte können auf Anfrage unter NDA geteilt werden

  • Kunden können sich auf Zertifizierungen Dritter verlassen, anstatt eigene Prüfungen durchzuführen

3. Internationale Datentransfers

3.1 Mechanismen für den Datentransfer

ISMS Copilot verarbeitet personenbezogene Daten des Kunden in Übereinstimmung mit Kapitel V der DSGVO:

Primäre Speicherung (Immer EU):

  • Die gesamte Datenbank-Speicherung erfolgt in Frankfurt, Deutschland (AWS EU-Central-1)

  • Gesprächshistorie, hochgeladene Dateien und Kontodaten verbleiben in der EU

  • Kein Angemessenheitsbeschluss für die primäre Speicherung erforderlich

KI-Verarbeitung (Vom Kunden konfigurierbar):

Wenn der erweiterte Datenschutzmodus AKTIVIERT ist: Die KI-Verarbeitung erfolgt innerhalb der EU über Mistral AI ohne Datenspeicherung. Für die KI-Verarbeitung findet kein internationaler Datentransfer statt.

Wenn der erweiterte Datenschutz DEAKTIVIERT ist (Standard): Gesprächsinhalte werden zur KI-Verarbeitung über xAI/OpenAI mit einer 30-tägigen Speicherung in die USA übertragen. Für diese Transfers gelten Standardvertragsklauseln.

E-Mail-Kommunikation (USA-basiert):

  • E-Mail-Adressen werden an SendGrid und Kit (USA) übertragen

  • Geschützt durch von der Europäischen Kommission genehmigte Standardvertragsklauseln

  • Kunden können Datentransfers minimieren, indem sie sich von nicht essenziellen E-Mails abmelden

3.2 Standardvertragsklauseln (SCCs)

Für Übermittlungen in die USA stützt sich ISMS Copilot auf Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission):

  • Kunde an ISMS Copilot: Modul Zwei (Verantwortlicher an Auftragsverarbeiter) findet Anwendung, wenn der Kunde als Verantwortlicher handelt

  • ISMS Copilot an US-Unterauftragsverarbeiter: Modul Drei (Auftragsverarbeiter an Auftragsverarbeiter) findet Anwendung

  • Anwendbares Recht für SCCs: Französisches Recht (Klausel 17, Option 1)

  • Zuständige Aufsichtsbehörde: CNIL, Frankreich (Klausel 13)

  • Kopien der unterzeichneten SCCs mit Unterauftragsverarbeitern sind auf Anfrage über den Support erhältlich

3.3 Zusätzliche Maßnahmen

ISMS Copilot implementiert zusätzliche Maßnahmen zum Schutz von Daten, die außerhalb der EU übertragen werden:

  • Ende-zu-Ende-Verschlüsselung (TLS 1.3) für alle Datenübertragungen

  • Vertragliches Verbot des KI-Trainings mit Kundendaten

  • Begrenzte Speicherung durch KI-Anbieter (30 Tage für xAI/OpenAI, keine für Mistral AI)

  • Dem Kunden ist es möglich, den Zielort der Übertragung über den erweiterten Datenschutzmodus zu steuern

  • Kontinuierliche Beobachtung der rechtlichen Entwicklungen bezüglich internationaler Datentransfers

3.4 Transfer Impact Assessment (TIA)

ISMS Copilot hat ein Transfer Impact Assessment (TIA) für US-basierte Unterauftragsverarbeiter durchgeführt und festgestellt, dass:

  • Standardvertragsklauseln angemessene Garantien gemäß DSGVO Kapitel V bieten

  • Zusätzliche technische Maßnahmen (Verschlüsselung, begrenzte Speicherung, Benutzerkontrollen) den Schutz verstärken

  • Kunden die Option haben, Übertragungen zur US-KI-Verarbeitung vollständig zu vermeiden, indem sie den erweiterten Datenschutzmodus aktivieren (nur EU-Verarbeitung ohne Speicherung)

  • E-Mail-Übertragungen an US-Anbieter (SendGrid, Kit) unabhängig vom Datenschutzmodus bestehen bleiben, aber durch SCCs und Verschlüsselung geschützt sind

  • Keine Beweise dafür vorliegen, dass Unterauftragsverarbeiter staatliche Zugriffsanfragen für Kundendaten erhalten haben

Das vollständige Transfer Impact Assessment, einschließlich der Risikobewertungsmethodik und der Analyse der US-Überwachungsgesetze, ist unter „Transfer Impact Assessment“ verfügbar.

Organisationen mit strengen Anforderungen an die Datenresidenz in der EU sollten den erweiterten Datenschutzmodus aktivieren, um Transfers zur KI-Verarbeitung auszuschließen und die TIA-Verpflichtungen zu vereinfachen. E-Mail-Transfers an US-Anbieter bleiben bestehen, werden aber durch Abmeldung von nicht essenzieller Kommunikation minimiert. Details finden Sie in unserem Transfer Impact Assessment.

4. Pflichten des Kunden als Verantwortlicher

4.1 Rechtmäßigkeit der Verarbeitungsweisungen

Der Kunde sichert zu, dass:

  • Alle Verarbeitungsweisungen der DSGVO und geltenden Datenschutzgesetzen entsprechen

  • Der Kunde über eine Rechtsgrundlage für die Verarbeitung aller auf die Plattform hochgeladenen personenbezogenen Daten verfügt

  • Der Kunde die betroffenen Personen über die Verarbeitung und ihre Rechte informiert hat

  • Der Kunde ordnungsgemäße Verzeichnisse von Verarbeitungstätigkeiten führt (Art. 30 DSGVO)

4.2 Besondere Kategorien von Daten

Falls der Kunde besondere Kategorien von Daten (Art. 9 DSGVO) hochlädt, bestätigt der Kunde, dass:

  • Die entsprechenden Bedingungen nach Artikel 9 erfüllt sind (z. B. ausdrückliche Einwilligung, Rechtsansprüche, erhebliches öffentliches Interesse)

  • Zusätzliche gesetzlich vorgeschriebene Schutzmaßnahmen getroffen wurden

  • Der Kunde, falls erforderlich, eine Datenschutz-Folgenabschätzung durchgeführt hat

4.3 Verwaltung von Betroffenenrechten

Der Kunde ist verantwortlich für:

  • Entgegennahme und Beantwortung von Anträgen auf Betroffenenrechte

  • Verifizierung der Identität betroffener Personen, bevor Daten von ISMS Copilot angefordert werden

  • Bestimmung, ob im Falle von Verletzungen Aufsichtsbehörden und betroffene Personen benachrichtigt werden müssen

  • Sicherstellung, dass betroffene Personen über die Rolle von ISMS Copilot als Auftragsverarbeiter informiert sind

4.4 Konfiguration der Datenaufbewahrung

Der Kunde muss:

  • Angemessene Datenaufbewahrungsfristen konfigurieren, die seinen Datenschutzrichtlinien entsprechen

  • Aufbewahrungseinstellungen regelmäßig überprüfen, um die Einhaltung sicherzustellen

  • Die Löschung beantragen, wenn Daten für den ursprünglichen Zweck nicht mehr erforderlich sind

4.5 Workspace-Isolierung

Der Kunde sollte:

  • Separate Workspaces für verschiedene Clients oder Datenkategorien erstellen

  • Die Vermischung personenbezogener Daten verschiedener Betroffener in einem Workspace vermeiden

  • Workspaces löschen, wenn Projekte abgeschlossen sind und Daten nicht mehr benötigt werden

5. Haftung und Freistellung

5.1 Haftungsverteilung

Gemäß Artikel 82 DSGVO:

  • Der Kunde und ISMS Copilot haften jeweils für Schäden, die durch ihre eigenen Verstöße gegen die DSGVO verursacht wurden

  • ISMS Copilot ist von der Haftung befreit, wenn nachgewiesen wird, dass das Unternehmen nicht für das Ereignis verantwortlich ist, das den Schaden verursacht hat

  • ISMS Copilot haftet nicht für Schäden, die aus unrechtmäßigen Verarbeitungsweisungen des Kunden resultieren

5.2 Freistellung

Der Kunde stellt ISMS Copilot von allen Ansprüchen, Bußgeldern oder Schäden frei, die resultieren aus:

  • Verstößen des Kunden gegen die DSGVO oder andere Datenschutzgesetze

  • Unrechtmäßigen Verarbeitungsweisungen des Kunden

  • Versäumnissen des Kunden, notwendige Einwilligungen oder eine Rechtsgrundlage für die Verarbeitung einzuholen

  • Dem Hochladen besonderer Datenkategorien durch den Kunden ohne angemessene Schutzmaßnahmen

6. Laufzeit und Beendigung

6.1 Laufzeit

Dieser AVV tritt an dem Tag in Kraft, an dem der Kunde erstmals Dienste von ISMS Copilot nutzt, und gilt so lange, wie ISMS Copilot personenbezogene Daten des Kunden verarbeitet.

6.2 Beendigung

Dieser AVV endet automatisch bei:

  • Beendigung der Nutzungsbedingungen

  • Abschluss aller Verarbeitungsaktivitäten und Löschung der personenbezogenen Daten des Kunden

6.3 Wirkung der Beendigung

Nach der Beendigung:

  • Wird ISMS Copilot alle personenbezogenen Daten des Kunden wie in Abschnitt 2.8 beschrieben löschen oder zurückgeben

  • Bleiben Verpflichtungen bezüglich Vertraulichkeit, Datensicherheit und gesetzlicher Aufbewahrung über die Beendigung hinaus bestehen

  • Das Prüfungsrecht des Kunden bleibt für 12 Monate nach Beendigung bestehen

7. Änderungen und Aktualisierungen

7.1 Aktualisierungen des AVV

ISMS Copilot kann diesen AVV aktualisieren, um Folgendes zu berücksichtigen:

  • Änderungen der Datenschutzgesetze oder behördlichen Leitlinien

  • Änderungen an Verarbeitungsvorgängen oder Unterauftragsverarbeitern

  • Verbesserungen der Sicherheitsmaßnahmen oder Datenschutzpraktiken

7.2 Benachrichtigung über Änderungen

  • Wesentliche Änderungen werden mindestens 30 Tage im Voraus per E-Mail und In-App-Benachrichtigung mitgeteilt

  • Der aktualisierte AVV wird unter dieser URL mit einem neuen „Gültigkeitsdatum“ veröffentlicht

  • Die fortgesetzte Nutzung der Dienste nach dem Gültigkeitsdatum gilt als Zustimmung zum aktualisierten AVV

7.3 Widerspruchsrechte

  • Der Kunde kann wesentlichen Änderungen innerhalb von 30 Tagen nach Benachrichtigung widersprechen

  • Bei Widerspruch kann der Kunde den Dienst ohne Strafe kündigen

8. Anwendbares Recht und Gerichtsstand

8.1 Anwendbares Recht

Dieser AVV unterliegt:

  • Der Datenschutz-Grundverordnung (EU) 2016/679

  • Dem französischen Datenschutzrecht (Loi Informatique et Libertés Nr. 78-17 vom 6. Januar 1978)

  • Dem Recht Frankreichs für die vertragliche Auslegung

8.2 Gerichtsstand

Alle Streitigkeiten aus diesem AVV unterliegen der Zuständigkeit französischer Gerichte, wobei die Aufsichtsbehörde die Commission Nationale de l'Informatique et des Libertés (CNIL) ist.

9. Kontaktinformationen

9.1 Datenschutz-Kontakte

Für Fragen oder Anfragen zum AVV:

  • Kontaktieren Sie den Support über das Hilfe-Center (erreichbar über das Benutzermenü)

  • E-Mail von Ihrer registrierten E-Mail-Adresse

  • Geben Sie im Betreff „DPA Request“ oder „Auftragsverarbeitungsvertrag“ an

9.2 Kontakt für Datenschutzfragen

ISMS Copilot hat keinen Datenschutzbeauftragten benannt, da wir die Kriterien für eine obligatorische Benennung gemäß Art. 37 DSGVO nicht erfüllen. Für datenschutzrechtliche Anfragen im Zusammenhang mit diesem AVV kontaktieren Sie uns unter [email protected] oder über das Hilfe-Center.

9.3 Aufsichtsbehörde

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Website: https://www.cnil.fr/en

  • Adresse: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich

  • Telefon: +33 1 53 73 22 22

10. Zusätzliche Ressourcen

Begleitende Dokumentation

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) – Detaillierte Verarbeitungsvorgänge und Unterauftragsverarbeiter

  • Transfer Impact Assessment (TIA) – Risikobewertung und Schutzmaßnahmen für internationale Datentransfers

  • Datenschutzerklärung – Datenschutzhinweis für Endverbraucher

  • Datenschutz & DSGVO-Compliance – Benutzerrechte und Leitfaden zur DSGVO-Implementierung

  • Security Collection – Umfassende Sicherheits- und Compliance-Dokumentation

  • Status Seite – Systemverfügbarkeit in Echtzeit und Benachrichtigungen über Vorfälle

Konfigurationsleitfäden

  • Erweiterter Datenschutzmodus – Aktivierung der KI-Verarbeitung ausschließlich in der EU

  • Leitfaden zur Workspace-Einrichtung – Kundendaten ordnungsgemäß isolieren

  • Leitfaden zur Kontosicherheit – Implementierung starker Authentifizierung

Anhang A: Zusammenfassung der Verarbeitungsdetails

Gegenstand

Bereitstellung einer KI-gestützten Compliance-Plattform inklusive Gesprächsverarbeitung, Dokumentenanalyse und Wissensmanagement.

Dauer

Für die Dauer des aktiven Abonnements des Kunden zuzüglich der vom Kunden konfigurierten Aufbewahrungsfrist (1 Tag bis 7 Jahre), gefolgt von einem 30-tägigen Löschfenster.

Art und Zweck

  • Art: Automatisierte KI-Verarbeitung, Datenbank-Speicherung, Dateikonvertierung und -analyse

  • Zweck: Ermöglichung von KI-Beratung, Dokumentenanalyse, Richtlinienerstellung und Verwaltung von Compliance-Wissen für Compliance-Experten

Kategorien betroffener Personen

  • Mitarbeiter des Kunden und autorisierte Plattformnutzer

  • Kunden des Kunden (sofern in Dokumenten oder Anfragen erwähnt)

  • In der Compliance-Dokumentation erwähnte Personen

  • Betroffene von Sicherheitsvorfällen

Kategorien personenbezogener Daten

  • Kontaktinformationen (E-Mail-Adressen)

  • Authentifizierungsdaten (gehashte Passwörter)

  • Gesprächsinhalte und KI-Interaktionen

  • Hochgeladene Compliance-Dokumente

  • Nutzungsmetadaten und Zeitstempel

  • Potenziell besondere Kategorien von Daten (Art. 9), falls vom Kunden hochgeladen

Anhang B: Protokoll für Änderungen bei Unterauftragsverarbeitern

Dieser Anhang listet alle Hinzufügungen, Entfernungen und Änderungen von Unterauftragsverarbeitern seit Inkrafttreten des AVV auf. Kunden werden 30 Tage vor Inkrafttreten der Änderungen benachrichtigt.

Stand: November 2025

Ursprüngliche Liste der Unterauftragsverarbeiter erstellt. Siehe Abschnitt 2.4 und das Verzeichnis der Verarbeitungstätigkeiten für die vollständige aktuelle Liste.

Zukünftige Änderungen

Alle Änderungen bei Unterauftragsverarbeitern werden hier dokumentiert mit:

  • Gültigkeitsdatum der Änderung

  • Name und Standort des Unterauftragsverarbeiters

  • Art der Änderung (Hinzufügung, Entfernung, Austausch)

  • Verarbeitungszweck

  • Datum der Kundenbenachrichtigung

Hilfe erhalten

Bei Fragen zu diesem Auftragsverarbeitungsvertrag:

  • Prüfen Sie das Verzeichnis von Verarbeitungstätigkeiten für technische Details der Verarbeitung

  • Kontaktieren Sie den Support über das Hilfe-Center für Klärungen

  • Fordern Sie zusätzliche Dokumentation (z. B. SCCs, Sicherheitsrichtlinien) über den Support an

  • Besuchen Sie unsere Security Collection für umfassende Compliance-Ressourcen

  • Geben Sie „DPA Request“ in Ihrem Betreff an, um eine prioritäre Bearbeitung zu erhalten

War das hilfreich?